Sujet Précédent Sujet Suivant

Centre de sécurité désactivé

Fermé
Doumi - Modifié par Doumi le 30/04/2011 à 19:48
 Utilisateur anonyme - 11 mai 2011 à 11:48
Bonjour,

Sous Windows 7 - Internet Explorer 9.0 - Avast version gratuite 110430-1

Suite à problème avec le virus Win 7 Total security, j'ai mis en quarantaine 9 menaces (trojan, Hijack, Broken) avec malwarebytes anti-malware.
- Comment savoir si le danger est définitivement écarté ? A ce jour j'ai retrouvé l'accès à internet mais le service Centre de Sécurité Windows reste désactivé et il m'est impossible de l'activé !!!!!

Merci par avance pour vos conseils.

45 réponses

Réponse 1 / 45
Utilisateur anonyme
30 avril 2011 à 19:46
salut


▶ Télécharge ici : Ad-remover sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

================================

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de "Pre_scan.txt" qui apparaitra à son terme , sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus
0
Doumi
30 avril 2011 à 20:22
Voici la réponse d'Ad-Remover, je vais faire la suite comme convenu.

RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 20:15:13 le 30/04/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
Doumi@GUY32-VAIO (Sony Corporation VGN-FW54E)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [9.0.8112.16421] ****

IEXPLORE.EXE\Shell\Open\Command - iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{5DD432B1-1DE7-4586-93F7-33BDCC133C55} - "Zinio" (hxxp://services.zinio.com/search?s={selection}&rf=sonyslices)
HKCU_SearchScopes\{D994AC89-284C-413D-8DDA-4D7A9871E9D7} - "eBay" (hxxp://rover.ebay.com/rover/1/709-42536-16445-8/4?satitle={searchTerms})
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "Envoyer à Bluetooth" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/04/2011 20:10:14 (3383 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 30/04/2011 20:15:49 (2967 Octet(s))
0
Utilisateur anonyme
30 avril 2011 à 20:23
tu peux fournir celui-ci ?

C:\Ad-Report-CLEAN[1].txt
0
Doumi
30 avril 2011 à 20:31
Le voici
RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:09:48 le 30/04/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
Doumi@GUY32-VAIO (Sony Corporation VGN-FW54E)

============== ACTION(S) ==============


Dossier supprimé: C:\Users\Doumi\AppData\Roaming\OpenCandy
Dossier supprimé: C:\Users\Doumi\AppData\Local\OpenCandy
Dossier supprimé: C:\Users\Doumi\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [9.0.8112.16421] ****

IEXPLORE.EXE\Shell\Open\Command - iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{5DD432B1-1DE7-4586-93F7-33BDCC133C55} - "Zinio" (hxxp://services.zinio.com/search?s={selection}&rf=sonyslices)
HKCU_SearchScopes\{D994AC89-284C-413D-8DDA-4D7A9871E9D7} - "eBay" (hxxp://rover.ebay.com/rover/1/709-42536-16445-8/4?satitle={searchTerms})
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "Envoyer à Bluetooth" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/04/2011 20:10:14 (3244 Octet(s))

Fin à: 20:11:16, 30/04/2011

============== E.O.F ==============
0
Doumi
30 avril 2011 à 20:46
Petites questions :
Desactiver quelles protections précisément ?

Il faut télécharger Pre_Scan à partir de quoi ? Cela fait rien de télécharger sans anti-virus ?

Je ne sais pas ce qu'est un Proxi, comment savoir si j'en ai installé ?

Désolée, mais je ne suis pas à la pointe de l'informatique.
0
Réponse 2 / 45
Utilisateur anonyme
30 avril 2011 à 20:34
bien le suivant :)
0
Réponse 3 / 45
Utilisateur anonyme
30 avril 2011 à 20:50
reponds avec le bouton vert si possible merci

tu cliques sur le lien bleu au dessus , tu le telecharges , tu l'enregistres sur ton bureau , tu coupes les protections , et tu l'executes
0
Réponse 4 / 45
Doumi
30 avril 2011 à 21:19
Voici la réponse
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.40 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 ¤¤¤¤¤

Mis à jour le 30/04/2011 | 18.50 par g3n-h@ckm@n
Utilisateur : Doumi (Administrateurs)
Ordinateur : GUY32-VAIO

Système d'exploitation : Windows 7 Home Premium (64 bits)
Internet Explorer : 9.0.8112.16421
Mozilla Firefox :

Scan : 21:16:52 | 30/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCU\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe

¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\SysWOW64\userinit.exe, -> C:\Windows\SysWOW64\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

¤¤¤¤¤¤¤¤¤¤ Associations

[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.reg] : regfile
[regfile | command] : regedit.exe "%1"
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*

¤

[IE | Command] | @ -> Aucune modification : "C:\Program Files (x86)\Internet Explorer\iexplore.exe" -> "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files (x86)\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files (x86)\Internet Explorer\iexplore.exe" %1
[Chrome | Command] | @ -> Aucune modification : "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -> "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

¤

[Assoc | Applications] | @ -> Aucune modification : http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s

¤


¤


¤¤¤¤¤¤¤¤¤¤ Services

[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[agp440] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
[AudioEndpointBuilder] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[BFE] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Bits] | Start -> Modification apportée : 3 -> 2 : Service Actif
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[EapHost] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Redemarré

¤¤¤¤¤¤¤¤¤¤ Internet Explorer

[HKCU | Main] | Start Page -> Aucune Modification : http://www.google.com/ -> http://www.google.com/
[HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\SysWOW64\blank.htm -> C:\Windows\SysWOW64\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM | Main] | Start Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\SysWOW64\blank.htm -> C:\Windows\SysWOW64\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896

¤¤¤¤¤¤¤¤¤¤ Processus

C:\Windows\explorer.exe -> Processus stoppé

¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine


¤¤¤¤¤¤¤¤¤¤ IFEO


¤¤¤¤¤¤¤¤¤¤ Mountpoints2



¤¤¤¤¤¤¤¤¤¤ MBR

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line: -za C:\MBR\MBR.bin
Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: Sony Corporation
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Sony Corporation
System Product Name: VGN-FW54E
Logical Drives Mask: 0x00000074

Analysis of file "C:\MBR\MBR.bin":
Windows XP MBR code detected


Done!

¤¤¤

Fin : 21:17:03

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 45
Utilisateur anonyme
30 avril 2011 à 21:34
telecharge ici :

MBR_Repair

enregistre-le sur ton bureau ,

lance-le , choisis "Repair"

choisis "Windows 7"

ton pc va redemarrer

à ton retour , relance MBR_Repair puis fais l'option "Verify"

MBR_Verify.txt se mettra sur ton bureau poste ici son contenu
0
Réponse 6 / 45
Doumi
30 avril 2011 à 22:34
Voici le contenu de MBR Verify
¤¤¤¤¤¤¤¤¤ MBR_Repair | Verify | 1.0.0.1¤¤¤¤¤¤¤¤¤¤

Mis à jour le 10/04/2011 | 16.30 par g3n-h@ckm@n

Utilisateur : Doumi (Administrateurs)
Ordinateur : GUY32-VAIO

Système d'exploitation : Windows 7 Home Premium (64 bits)

Scan : 22:31:50 | 30/04/2011

MBRCheck, version 1.2.3

(c) 2010, AD



Command-line: -za MBR.bin

Windows Version: Windows 7 Home Premium Edition

Windows Information: Service Pack 1 (build 7601), 64-bit

Base Board Manufacturer: Sony Corporation

BIOS Manufacturer: American Megatrends Inc.

System Manufacturer: Sony Corporation

System Product Name: VGN-FW54E

Logical Drives Mask: 0x00000074



Analysis of file "MBR.bin":

Windows 7 MBR code detected





Done!
0
Réponse 7 / 45
Doumi
30 avril 2011 à 22:51
J'en profite également pour vous trasmettre les 2 rapports de Malwayrebytes (scan effectué avant de prendre contact avec vous).
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6468

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

29/04/2011 06:36:31
mbam-log-2011-04-29 (06-36-31).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 154830
Temps écoulé: 2 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
c:\Users\Doumi\AppData\Local\nta.exe (Trojan.FakeAlert) -> 3228 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Doumi\AppData\Local\nta.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\Doumi\AppData\Local\nta.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Doumi\AppData\Local\nta.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Doumi\local settings\nta.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Doumi\local settings\syo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Doumi\local settings\application data\nta.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Doumi\local settings\application data\syo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6468

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

29/04/2011 20:34:13
mbam-log-2011-04-29 (20-34-13).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 286969
Temps écoulé: 37 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Doumi\AppData\Roaming\opencandy\opencandy_09dbbf86dd4b406887aaf6d48480fe1d\offerboxsetup_fr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

En espèrant que ces rapports apporteront une information supplémentaire.

Dans l'attente de vos conseils, je vous remercie pour vos propositions de démarches.
0
Réponse 8 / 45
Utilisateur anonyme
30 avril 2011 à 23:12
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

=> Configuration

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Réponse 9 / 45
Doumi
30 avril 2011 à 23:35
Voici le lien pour OTL.texte
http://www.cijoint.fr/cjlink.php?file=cj201104/cijuCqLvNX.txt
0
Réponse 10 / 45
Doumi
30 avril 2011 à 23:43
Et voici le lien du dépôt du fichier Extras.Txt

http://www.cijoint.fr/cjlink.php?file=cj201104/cijQyhU0zY.txt
0
Réponse 11 / 45
Utilisateur anonyme
Modifié par gen-hackman le 1/05/2011 à 00:01
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Reg Error: Key error.)

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"ControlCenter3"=-


:Files
C:\Users\Doumi\AppData\Local\0g6x7s71hh4a7j71h7ucq5600
C:\ProgramData\0g6x7s71hh4a7j71h7ucq5600

:commands
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
0
Réponse 12 / 45
Doumi
1 mai 2011 à 05:40
Bonjour, me revoilà. Tout d'abord, bon 1er mai 2011.

Voici le rapport:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ControlCenter3 deleted successfully.
========== FILES ==========
C:\Users\Doumi\AppData\Local\0g6x7s71hh4a7j71h7ucq5600 moved successfully.
C:\ProgramData\0g6x7s71hh4a7j71h7ucq5600 moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Doumi
->Temp folder emptied: 2354905 bytes
->Temporary Internet Files folder emptied: 41553618 bytes
->Java cache emptied: 45707338 bytes
->Flash cache emptied: 2629 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1888073 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50674 bytes
RecycleBin emptied: 4863 bytes

Total Files Cleaned = 87,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 05012011_053201

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
C:\Windows\temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\~DF0606C84469C62F97.TMP not found!
File\Folder C:\Windows\temp\~DF2DD6BBF3607C605A.TMP not found!
File\Folder C:\Windows\temp\~DF2EC8AB41C5C961ED.TMP not found!
File\Folder C:\Windows\temp\~DF40CC5CD2C9253825.TMP not found!
File\Folder C:\Windows\temp\~DF59B16DEDD2960045.TMP not found!
File\Folder C:\Windows\temp\~DF9616D6236D75D69E.TMP not found!
File\Folder C:\Windows\temp\~DFA0EE51B5088660B3.TMP not found!
File\Folder C:\Windows\temp\~DFA6567C0F6A6D2FF7.TMP not found!
File\Folder C:\Windows\temp\~DFA9156E2C007080D0.TMP not found!
File\Folder C:\Windows\temp\~DFAC021B78146095A4.TMP not found!
File\Folder C:\Windows\temp\~DFB2A17EFDECE7D37F.TMP not found!
File\Folder C:\Windows\temp\~DFBEB6F73EF596FE4F.TMP not found!
File\Folder C:\Windows\temp\~DFD4784C008F2996E1.TMP not found!
File\Folder C:\Windows\temp\~DFE48B69FB926FAD00.TMP not found!

Registry entries deleted on Reboot...
0
Réponse 13 / 45
Doumi
1 mai 2011 à 08:32
Je n'ai plus de réponse de votre part ????
0
Réponse 14 / 45
Utilisateur anonyme
1 mai 2011 à 10:35
re ,

il m'arrive aussi de dormir :)

quels soucis persistent ? toujours des soucis de centre de securité ?
0
Réponse 15 / 45
Doumi
1 mai 2011 à 14:47
Bonjour,
Dans un 1er temps suite aux diverses manipulations effectuées par vos services et résultats obtenus, pouvez-vous me dire si l'ordinateur est finalement infecté par Win 7 Total Security comme je le craignais ?

D'autre part, le service centre de sécurité windows ne peut toujours pas être activé !!!

Merci, pour vos réponses.
0
Réponse 16 / 45
Doumi
1 mai 2011 à 17:27
Je suis désolée de vous ennuyer une fois de plus mais je ne sais pas ce que je dois faire suite à notre dernier contact ?

Dans un 1er temps suite aux diverses manipulations effectuées par vos services et résultats obtenus, pouvez-vous me dire si l'ordinateur est finalement infecté par Win 7 Total Security comme je le craignais ?

D'autre part, le service centre de sécurité windows ne peut toujours pas être activé !!!


Merci par avance.
0
Réponse 17 / 45
Utilisateur anonyme
1 mai 2011 à 17:39
tu as encore signe de vie du virus ??
0
Réponse 18 / 45
Doumi
1 mai 2011 à 17:47
Comment puis-je savoir si j'ai encore une signe de virus, l'ordinateur fonctionne normalement excepté que je ne puisse toujours pas activer le centre de sécurité windows 7
0
Réponse 19 / 45
Utilisateur anonyme
Modifié par gen-hackman le 1/05/2011 à 18:42
telecharge ici : Load_KidoKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage

à la fin Kido.txt se mettra sur ton bureau

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.


G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
0
Réponse 20 / 45
Doumi
1 mai 2011 à 23:37
Voici le dépôt du fichier Kido.zip

http://www.cijoint.fr/cjlink.php?file=cj201105/cijvO7J455.zip
0

Discussions similaires

Sécurité de l'URL
ghaouar -
fiddy -

2 réponses
Que signifie arrivé au centre de transport de départ ?
AlphaFurryWolf -
baladur13 -

3 réponses
La nouvelle messagerie du Boncoin....
Utilisateur anonyme -
Madabatro -

69 réponses
comment lire un message masqué????
linx33 -
linx33 -

6 réponses
Comment cacher ou masquer une URL
Jean-Pierre G -
Ahahaaa -

33 réponses